Win32.Worm.Lewor.S - Virensignatur

Symptome :

Präsenz folgender Dateien:
- windir%sonudmon.exe
- sysdir%dsek.exe
Startseite bei IE geändert in eine XXX Seite.

Technische Beschreibung:

Dies ist ein in Delphi geschriebener Trojaner, der die Startseite im IE verändert und versucht, andere bösartige Programme herunter zu laden und zu installieren.
Beim Systemstart verändert er Startseite, URL History und Such URL in IE auf eine XXX Seite (www.mmmmmm.net). Er registriert sich als

HKCUSoftwareMicrosoftWindowsCurrentVersionRun Key

in der System Registry. Er kopiert dich selbst in die Windows und System32 Directories unter den in „Symptomen“ genannten Namen. Er versucht, eine Datei namens "tmdown.exe" von der XXX Seite herunter zu laden und zu starten, aber die Datei existiert dort nicht mehr und der Virus schließt mit error (die herunter geladene Datei ist nicht ausführbar, läuft aber trotzdem).
Er schafft verschieden Timer mit verschiedenen Funktionen:

- einer überwacht die IE Einstellungen und setzt die Startseite wieder zurück, wenn der User sie verändert
- ein anderer versucht bösartige Programme herunter zu laden und zu starten
- es gibt auch einen Timer, der nach verschiedenen Programmfenstern sucht (unter den Namen QQKav, QQAV, TKillqqvir, ThunderRT6FormDC, Upiea, joyiex, ddqxyz u.a.) uns an diese die WM_QUIT Message sendet (wodurch sie beendet werden).
Der Virus legt auch den "Task Manager" Shortcut lahm, der beim Rechtsklicken der Systemleiste angezeigt wird, um seine Beendung zu verhindern. Er verbindet sich mit der Default Aktion bei text Dateien (.txt Endung) in der Registry, so dass bei jedem Öffnen einer Textdatei der Virus läuft.
Der Trojaner registriert sich selbst als Service Prozess.

Entfernung:

[ Zurück zum Anfang ]